Luca Stealer 惡意軟件在代碼輕松出現在 GitHub 后迅速傳播
一種新的信息竊取惡意軟件正在迅速蔓延,因為其背后的開發人員繼續添加功能并最近在 GitHub 上發布了源代碼。
此外,令人討厭的 Windows 軟件——被 Cyble 檢測到它的人稱為 Luca Stealer——是使用 Rust 編程語言構建的最新軟件。
研究人員在一份報告中寫道,Luca Stealer 已經更新了 3 次,開發人員添加了多個功能,并且自 7 月 3 日通過 GitHub 共享源代碼以來,他們已經在野外看到了超過 25 個源代碼樣本,其中可能會導致網絡犯罪社區更廣泛地采用。
研究人員寫道:“竊取者的開發者似乎是網絡犯罪論壇上的新人,并且可能泄露了竊取者的源代碼以建立自己的聲譽。” “開發者還提供了修改竊取器和編譯源代碼以方便使用的步驟。”
他們指出,Rust 正成為惡意軟件開發人員的首選編程語言,因為它的多功能性、跨平臺性質,而且生成的代碼對于一些逆向工程師及其工具來說似乎很陌生,從而阻礙了分析。多產的 Hive 勒索軟件團隊今年將其源代碼從 Go遷移到了 Rust,微軟威脅情報中心的分析師本月早些時候表示,這使得勒索軟件更穩定,更難以逆向工程。
其他威脅組織也在采用 Rust,包括BlackCat勒索軟件即服務團伙。此外,卡巴斯基安全研究人員本月還寫了一篇關于用 Rust 編寫的新勒索軟件家族Luna的文章。我們對此并不感到驚訝:Rust 被視為一種新興的通用語言,程序員正在將其用于各種項目,無論是合法的還是惡意的。
“Rust 之于 C 就像 Go 之于 Java,”代碼安全業務 BluBracket 的產品和開發人員支持負責人 Casey Bisson 告訴The Register。“它快速、緊湊且現代。Cargo 包管理器為開發人員提供類似于 Go 和 Node.js 的便利,性能更類似于 C。Rust 對鏈接 C 庫的原生支持,例如用于提供代碼服務的庫在許多操作系統中,為攻擊者提供了極大的便利。”
Bisson 補充說,“開發人員的便利性、功能和性能的結合將使其成為一個越來越普遍的新威脅開發平臺。該平臺的新穎性可能意味著許多軟件掃描程序沒有準備好識別 Rust 生成的二進制文件中的威脅簽名。”
LARES Consulting 的對抗工程師 Brendan Hohenadel 告訴The Register,Rust 是一種有吸引力的語言,除其他外,它的相對易用性、對訪問 Windows API 的支持以及旨在使軟件更穩定的內存管理方法.
“威脅參與者可以用 Rust 編寫惡意軟件,其功能與用更復雜的語言編寫的惡意軟件更快、更有效,”Hohenadel 說。“Rust 與 Golang 和 Nim 等其他較新的編程語言一起,創建可執行二進制文件以進行靜態和手動分析。其他流行語言,如 C++、C# 和 .Net 可以直接反編譯和逆向工程,使其更容易讓維護者進行調查并將惡意行為歸咎于犯罪集團。”
對于 Rust 工具鏈生成的代碼,逆向工程過程可能會更加耗時,具體取決于使用的工具和分析師??的經驗。可執行文件的編譯方式“實際上是一個黑洞。從可執行文件中獲取信息以進行歸因而不在沙箱或帶有監控軟件的環境中運行它更具挑戰性,”他說。
據 Cyble 研究人員稱,盡管 Rust 是一種跨平臺語言,但 Luca Stealer 目前只針對 Windows 操作系統。他們寫道,鑒于該惡意軟件是用 Rust 編寫并免費發布的,它將被世界各地的無數攻擊者采用。
一旦在 PC 上運行——可能是通過不可靠的下載或電子郵件附件——Luca Stealer 會針對 30 多個基于 Chromium 的瀏覽器——竊取登錄憑據、信用卡和 cookie 并將它們保存到文本文件以進行泄露——以及聊天應用程序,加密貨幣錢包和游戲應用程序。它還可以竊取受害者的文件。
它最初旨在使用 Telegram 機器人竊取被盜數據,但僅限于上傳最大 50MB 的數據,因此開發人員增加了對 Discord 網絡掛鉤的兼容性。
該惡意軟件針對 10 個冷加密錢包進行滲透,并在源代碼中使用硬編碼的錢包文件系統路徑。他們寫道,其他目標是密碼管理器的瀏覽器擴展和 20 多種瀏覽器的加密錢包。每個瀏覽器都有一個唯一的 ID,可以幫助攻擊者在 AppData 目錄中搜索擴展。
此外,Luca Stealer 檢查 Steam、Uplay 和 Telegram 應用程序的受損系統,并從多個文件夾中獲取數據。它還尋找四個信使應用程序:Discord、ICQ、Element 和 Skype。
Cyble 研究人員列出了用戶可以保護自己免受 Luca Stealer 等惡意軟件侵害的多種方法,包括不從不受信任的來源下載文件、定期清除瀏覽歷史記錄和重置密碼、自動更新連接設備上的軟件以及運行防病毒和互聯網安全軟件在系統上。
企業還需要繼續向員工宣傳網絡釣魚和不受信任的 URL 等威脅。
